JPH06103467B2 - Preventing malfunction of automobile computer - Google Patents
Preventing malfunction of automobile computerInfo
- Publication number
- JPH06103467B2 JPH06103467B2 JP60017949A JP1794985A JPH06103467B2 JP H06103467 B2 JPH06103467 B2 JP H06103467B2 JP 60017949 A JP60017949 A JP 60017949A JP 1794985 A JP1794985 A JP 1794985A JP H06103467 B2 JPH06103467 B2 JP H06103467B2
- Authority
- JP
- Japan
- Prior art keywords
- interrupt
- processing
- cpu
- control
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 230000007257 malfunction Effects 0.000 title claims description 22
- 238000000034 method Methods 0.000 claims description 18
- 230000002265 prevention Effects 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000006378 damage Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、コンピュータ制御における誤動作を未然に防
止する自動車用コンピュータの誤動作防止方法に関す
る。The present invention relates to a malfunction prevention method for an automobile computer, which prevents malfunction in computer control.
自動車に搭載された制御用マイクロコンピュータを含む
電子回路は、温度,湿度,振動,電気的ノイズなどの悪
環境下に置かれるので、高度の電子技術が要求される。
電子機器の破壊に対しては、技術進歩により対応技術が
著しく進歩してきているので、現段階ではこれらを利用
して、ほぼ満足すべき状態になっているが、プログラム
制御における誤動作の問題は、充分に解決されていると
はいえない。 特に、長大なステップをシーケンシャルに実行するマイ
クロコンピュータでは、僅か1ノイズが入り込むことで
暴走し、例えばエンジン制御についてのコンピュータの
誤動作で、走行中にエンジンストップを起こすなどの重
大な事態を発生することになる。そこで、このような最
悪の事態を回避するために、電子制御部分にノイズ混入
を防止するフィルタを多用したり、ウオッチドック回路
を外付けして、コンピュータのソフトウエア処理の過程
で、定期的に特定の出力ポートに“H"状態および“L"状
態のパルスを交互にプログラムラン信号として出力し、
上記ウオッチドック回路でモニタし、これが停止したの
を検出して“CPU暴走”を判定し、CPUおよびその他の部
分をリセットするなどして、正常状態に復帰させるなど
の提案がなされている。 最近では上記“ウォッチドック回路”の専用ICなどもあ
り、オンチップウォッチドック回路のマイクロコンピュ
ータも発表されている。 しかしながら、ウォッチドック回路が追加される分、コ
ストアップとなり、また、この回路自体の誤動作の問題
が新たに生じることになる。 特にこの方式の決定的な欠陥は、CPUの誤動作が外部に
影響を及ぼしてからでないと(ウォッチドック回路が働
くまで)、正規状態への復帰が得られないことである。 そしてこれが割込み処理を行なえるマルチタスク処理の
場合には、誤動作が原因で割込み禁止フラグが立ってし
まうと、必要な割込み制御ができなくなることで、運転
制御不能になるなどの重大な問題を起こしてしまう。 自動車の制御コンピュータの誤動作は、極めて稀れな現
象であり、例えば数万台に1台の割合で発生し、かつ、
数万km走行につき1度位しか発生しないという状況であ
るが、各種試験を行なった結果、得られた情報によっ
て、コンピュータの誤動作の直前には、点火ノイズや電
源サージなどにより、CPU内部のレジスタの保持内容が
変化することに起因すると判明した。すなわちCPUは、
正常なプログラムを実行しているにも拘わらず、レジス
タ内容の変化に伴って誤動作が惹き起こされるのであ
る。 特に主ルーチンの他に、割込み処理を行なうマルチタス
ク処理において、この現象が多く認められる。 なお、特開昭57−7832号公報には、一定間隔で発生する
割込み要求回路を計数すると共に、割込みが成立したと
きに該割込み要求回数の計数値をクリアし、計数が一定
値に達するまで割込みが発生しないときにはプログラム
異常として検出し、プログラム異常を検出したときに
は、緊急制御回路を起動して割込み機能により特定アド
レスからプログラム処理を再開させることで、プログラ
ム処理上の必要性から一時、割込み禁止フラグに割込み
禁止をセットし、該割込みを発生させない状態でプログ
ラム処理を行わせた場合に、プログラムバグ等によりプ
ログラムが暴走し割込み禁止フラグが解除されなくなっ
たときにこれを検出し、プログラム異常処理の救済を行
う技術が開示されている。An electronic circuit including a control microcomputer mounted on an automobile is placed in a bad environment such as temperature, humidity, vibration, and electrical noise, and thus requires high-level electronic technology.
With respect to the destruction of electronic equipment, the corresponding technology has advanced remarkably due to technological progress, so at this stage, using these, it is almost in a satisfactory state, but the problem of malfunction in program control is It has not been fully resolved. In particular, a microcomputer that executes long steps in sequence may run out of control when only one noise enters, causing a serious situation such as engine stop during running due to a malfunction of the computer for engine control. become. Therefore, in order to avoid such a worst situation, a lot of filters are used to prevent noise from being mixed in the electronic control part, or a watchdog circuit is externally attached, and periodically during the software processing process of the computer. Alternately outputs "H" and "L" state pulses to a specific output port as a program run signal,
It has been proposed to monitor the watchdog circuit, detect that it has stopped, judge "CPU runaway", reset the CPU and other parts, and restore the normal state. Recently, there are dedicated ICs for the "watchdog circuit" mentioned above, and a microcomputer with an on-chip watchdog circuit has been announced. However, since the watchdog circuit is added, the cost increases, and a problem of malfunction of the circuit itself arises. In particular, the decisive flaw of this method is that the malfunction cannot be returned to the normal state until the malfunction of the CPU affects the outside (until the watchdog circuit works). In the case of multi-task processing that can perform interrupt processing, if the interrupt disable flag is set due to a malfunction, necessary interrupt control cannot be performed, resulting in serious problems such as operation control being disabled. Will end up. Malfunction of the control computer of a car is an extremely rare phenomenon, and occurs at a rate of, for example, 1 in tens of thousands, and
Although it occurs only about once every tens of thousands of kilometers running, various tests have shown that the information obtained indicates that the internal registers of the CPU may be affected by ignition noise or power surge immediately before the computer malfunctions. It was found that this was due to changes in the content held in. That is, the CPU
Despite the execution of a normal program, malfunctions are caused by changes in the register contents. This phenomenon is often observed in the multi-task processing that performs interrupt processing in addition to the main routine. It should be noted that Japanese Patent Laid-Open No. 57-7832 counts interrupt request circuits that are generated at regular intervals, clears the count value of the interrupt request frequency when an interrupt is established, and continues until the count reaches a constant value. When an interrupt does not occur, it is detected as a program error, and when a program error is detected, the emergency control circuit is activated and the interrupt function restarts the program processing from a specific address. When interrupt prohibition is set in the flag and program processing is performed in a state where the interrupt is not generated, this is detected when the program runs out of control due to a program bug or the like and the interrupt prohibition flag is no longer released, and program error processing is performed. A technique for remedying the above is disclosed.
しかし、上記先行例においては、計数回路により割込み
発生要求回路からの割込み要求回数を計数すると共に、
割込み要求回数の計数値を割込みが成立したときにクリ
アし、計数回路による計数値がある一定値に達するまで
に割込みが発生しないときプログラム異常として検出す
る障害検出回路を要し、さらに障害検出回路によりプロ
グラム異常を検出したとき、緊急制御回路を起動して、
中央制御装置、主記憶装置を予備系に切換えた後、割込
み機能により特定アドレスからプログラム処理を再開さ
せるようにしており、その制御系の構成が複雑である。
また、中央制御装置等に予備系を備えていないものに
は、単にプログラム異常を検出するに留まり、CPUの暴
走を防止し得ない。 また、プログラム異常処理の救済として、単に特定アド
レスからプログラム処理を再開させたとしても、割込み
禁止フラグはセットされたままであり、根本的な原因解
決とはならず、緊急制御回路による動作が継続し、通常
の正常状態の処理に復帰することができない。 本発明は上記事情に鑑みてなされたものであり、プログ
ラム実行過程で点火ノイズや、電源サージなどによる不
正信号が入力されてレジスタに影響を与え、割込み禁止
のフラグが立つようなことがあっても、必要な割込み処
理が、プログラム進行中に一定時間行なわれていない時
には、割込み可能な状態を再生させ、必要とする割込み
処理を可能とし、誤動作を未然に防止することができる
自動車用コンピュータの誤動作防止方法を提供すること
を目的とする。However, in the above prior art example, the counting circuit counts the number of interrupt requests from the interrupt generation request circuit,
A failure detection circuit that clears the count value of the number of interrupt requests when an interrupt is established and detects a program error when an interrupt does not occur until the count value by the counting circuit reaches a certain value is required. When a program abnormality is detected by, activate the emergency control circuit,
After switching the central control unit and the main storage unit to the standby system, the interrupt function is used to restart the program processing from a specific address, and the configuration of the control system is complicated.
Further, in the case where the central control unit or the like does not have a backup system, it is impossible to prevent the runaway of the CPU by merely detecting the program abnormality. Moreover, even if the program processing is simply restarted from a specific address as a relief for the program abnormality processing, the interrupt prohibition flag remains set, and the root cause is not solved, and the operation by the emergency control circuit continues. , Cannot return to normal normal processing. The present invention has been made in view of the above circumstances, and an illegal signal due to ignition noise, a power surge, or the like may be input in a program execution process to affect a register, and an interrupt prohibition flag may be set. Also, when necessary interrupt processing is not performed for a certain period of time while the program is in progress, an interruptable state is reproduced, the necessary interrupt processing is enabled, and malfunctions can be prevented in advance. It is intended to provide a malfunction prevention method.
上記目的を達成するため、本発明による自動車用コンピ
ュータの誤動作防止方法は、通常の処理ルーチンを実行
すると共に、割込み要求の発生により割込み処理ルーチ
ンを実行する自動車用コンピュータにおいて、上記通常
の処理ルーチンの実行中、割込み処理が実行されない時
間を計時し、予め設定された所定時間内に割込み処理が
実行されないときには、割込み禁止の解除処理を実行す
ることを特徴とする。In order to achieve the above object, a method for preventing malfunction of an automobile computer according to the present invention executes a normal processing routine and, in an automobile computer that executes an interrupt processing routine when an interrupt request is generated, the normal processing routine During execution, the time during which the interrupt process is not executed is timed, and when the interrupt process is not executed within a preset predetermined time, the interrupt prohibition cancellation process is executed.
本発明では、通常の処理ルーチンの実行中、予め設定さ
れた所定時間内に割込み処理が実行されないときには、
割込み禁止の解除処理が実行されて、割込み禁止が解除
される。従って、不正信号が入り割込み禁止フラグが立
っても、早期にこれが解消され、割込み要求を無視して
CPUが暴走するのを確実に防止でき、コンピュータ制御
による誤動作が未然に防止される。According to the present invention, during the execution of the normal processing routine, when the interrupt processing is not executed within the preset predetermined time,
The interrupt prohibition cancellation processing is executed to cancel the interrupt prohibition. Therefore, even if an illegal signal is input and the interrupt disable flag is raised, this is resolved early and the interrupt request is ignored.
It is possible to reliably prevent the CPU from running out of control, and prevent malfunctions caused by computer control.
以下、本発明の一実施例を第1図および第2図を参照し
て説明する。 第1図は本発明を実施する自動車搭載のコンピュータの
一例であり、例えば燃料噴射,点火制御などのエンジン
制御、あるいは車速制御等に用いられる。 第1図において、符号1はCPU6に必要な制御パラメータ
を供給する各種センサであり、これらセンサ1は、入力
インターフェース3を介して入出力ユニット5に接続さ
れている。また符号2は各種制御アクチュエータで、入
出力ユニット5より出力インターフェース4を介して出
力される駆動信号により駆動される。 入出力ユニット5は、バスライン9を介してCPU6に接続
されており、センサ1の出力をCPU6で処理し、各種アク
チュエータ2を駆動するコマンドを出力するのである。
またCPU6には、入出力ユニット5より割込み線10が接続
されていて、入出力信号に対して入出力ユニット5よ
り、CPU6に対する割込み処理要求が可能となっている。 なお、符号8はCPU6の処理手順を内蔵したROMであり、
符号7はデータの一時退避などに用いるRAMで、それぞ
れバスライン9を介してCPU6と接続されている。 そして上記入出力ユニット5は、通常、汎用LSIで構成
され、複数の機能をソフトウエアで選択するプログラマ
ブルオプションを採用しており、このプログラマブルオ
プションでは、所定のレジスタにCPU6から定数を書込む
形で、機能が一義的に決定される。 次に第2図(a),(b)を用いて、本発明による誤動
作防止方法につき具体的に説明する。 まず通常の処理ルーチンについて第2図(a)に基づき
説明すると、ステップS1で、通常の処理が行なわれる。
次にステップS2では、RAM7の所定アドレスに格納されて
いる値TIMEをインクリメントし、ステップS3でこのイン
クリメントした値TIMEが、予め設定されたTIME(1)の
値と比較され、TIMEの値がTIME(1)の値に等しいか、
それ以上ならばステップS4に行くが、そうでなければス
テップS1に戻るのである。またステップS4およびステッ
プS5では、所定の誤動作防止対策ルーチンが実行され
る。例えば割込み禁止フラグに“0"復帰させるような、
あるいは初期化(“0"にする)するような割込み禁止の
解除処理がなされる。 一方、外部から割込みが発生すると、CPU6は上述の通常
の処理ルーチン(メインルーチン)を中止し、第2図
(b)に示す割込み処理ルーチンを実行する。先ずステ
ップS1で割込み処理がなされる。 次に、ステップS12でTIMEをクリア(“0"復帰)して、
ステップS13でメインルーチンに戻る。 このように、割込みが正規にかかっていれば、常にTIME
はクリアされるが、点火ノイズや電源サージなどで不正
信号が入り、レジスタの内容が変化して、割込み禁止フ
ラグが立つような場合には、割込み要求があっても、こ
れが実行されないので、メインのルーチンが繰返され、
TIMEの値は、インクリメントの結果、TIME(1)に到達
される。これにより割込み禁止が解除されるから、少な
くとも所定時間毎には割込みが可能となるから、CPU6が
割込み要求を無視することなく、重大な誤動作を未然に
防止できるのである。An embodiment of the present invention will be described below with reference to FIGS. 1 and 2. FIG. 1 shows an example of a vehicle-mounted computer embodying the present invention, which is used for engine control such as fuel injection and ignition control, or vehicle speed control. In FIG. 1, reference numeral 1 denotes various sensors that supply necessary control parameters to the CPU 6, and these sensors 1 are connected to an input / output unit 5 via an input interface 3. Reference numeral 2 denotes various control actuators, which are driven by drive signals output from the input / output unit 5 via the output interface 4. The input / output unit 5 is connected to the CPU 6 via the bus line 9, and the CPU 6 processes the output of the sensor 1 to output commands for driving various actuators 2.
An interrupt line 10 is connected to the CPU 6 from the input / output unit 5, and an interrupt processing request to the CPU 6 can be made from the input / output unit 5 for an input / output signal. In addition, reference numeral 8 is a ROM having a built-in processing procedure of the CPU 6,
Reference numeral 7 is a RAM used for temporary saving of data, etc., and each is connected to the CPU 6 via a bus line 9. The input / output unit 5 is usually composed of a general-purpose LSI and employs a programmable option that selects a plurality of functions by software. In this programmable option, a constant is written from a CPU 6 to a predetermined register. , The function is uniquely determined. Next, the malfunction prevention method according to the present invention will be specifically described with reference to FIGS. 2 (a) and 2 (b). First, a normal processing routine will be described with reference to FIG. 2A. In step S1, normal processing is performed.
Next, in step S2, the value TIME stored in the predetermined address of RAM7 is incremented, and this incremented value TIME is compared with the preset value of TIME (1) in step S3. Is equal to the value of (1),
If it is more than that, go to step S4, but if not, return to step S1. Further, in steps S4 and S5, a predetermined malfunction prevention countermeasure routine is executed. For example, resetting the interrupt disable flag to "0"
Alternatively, interrupt prohibition cancellation processing is performed such as initialization (set to “0”). On the other hand, when an interrupt occurs from the outside, the CPU 6 suspends the above-mentioned normal processing routine (main routine) and executes the interrupt processing routine shown in FIG. 2 (b). First, in step S1, interrupt processing is performed. Next, in step S12, clear TIME (return to "0"),
In step S13, the process returns to the main routine. Thus, if the interrupt is taken normally, TIME
However, if an illegal signal is input due to ignition noise, power surge, etc., and the register contents change, and the interrupt disable flag is set, this will not be executed even if there is an interrupt request. The routine of is repeated,
The value of TIME reaches TIME (1) as a result of the increment. As a result, the interruption prohibition is released, and the interruption can be performed at least every predetermined time. Therefore, the CPU 6 can prevent a serious malfunction without ignoring the interruption request.
以上説明したように本発明によれば、通常の処理ルーチ
ンの実行中、予め設定された所定時間内に割込み処理が
実行されないときには、割込み禁止の解除処理が実行さ
れて割込み禁止が解除されるので、プログラム進行中に
点火ノイズや電源サージなどにより不正信号が入り割込
み禁止フラグが立つようなことがあっても、早期にこれ
が解消され、非常に簡便な方法でもって、割込み要求を
無視してCPUが暴走するのを確実に防止でき、コンピュ
ータ制御による誤動作を未然に防止することができる。
また、CPU等に予備系を備えていなくても、割込み要求
無視によるCPUの暴走を確実に防止でき、自動車用コン
ピュータによる誤動作を未然に防止できる。 また、所定時間内に割込み処理が実行されないとき、割
込み禁止を解除するので、割込み禁止フラグをクリアし
て、割込み処理の実行を可能とする通常の正常状態に容
易に復帰することができる。As described above, according to the present invention, during the execution of the normal processing routine, when the interrupt processing is not executed within the preset predetermined time, the interrupt prohibition cancellation processing is executed and the interrupt prohibition is canceled. Even if an illegal signal may be generated due to ignition noise or power surge while the program is in progress and the interrupt prohibition flag may be set, this is resolved early and the interrupt request can be ignored by the CPU in a very simple method. Can be surely prevented from running away, and malfunction due to computer control can be prevented in advance.
Further, even if the CPU or the like does not have a backup system, it is possible to reliably prevent runaway of the CPU due to ignoring interrupt requests, and prevent malfunctions due to the automobile computer. Further, when the interrupt processing is not executed within the predetermined time, the interrupt prohibition is released, so that the interrupt prohibition flag can be cleared and the normal normal state in which the interrupt processing can be executed can be easily restored.
第1図は本発明方法を実施する上でのコンピュータの構
成ブロック図、 第2図(a),第2図(b)は制御手順を示すフローチ
ャートである。 1……センサ、 2……アクチュエータ、 3……入力インターフェース、 4……出力インターフェース、 5……入出力ユニット、 6……CPU、 7……RAM、 8……ROM、 9……バスライン、 10……割込み線。FIG. 1 is a configuration block diagram of a computer for carrying out the method of the present invention, and FIGS. 2 (a) and 2 (b) are flowcharts showing a control procedure. 1 ... Sensor, 2 ... Actuator, 3 ... Input interface, 4 ... Output interface, 5 ... Input / output unit, 6 ... CPU, 7 ... RAM, 8 ... ROM, 9 ... Bus line, 10 …… Interrupt line.
Claims (1)
込み要求の発生により割込み処理ルーチンを実行する自
動車用コンピュータにおいて、 上記通常の処理ルーチンの実行中、割込み処理が実行さ
れない時間を計時し、 予め設定された所定時間内に割込み処理が実行されない
ときには、割込み禁止の解除処理を実行する ことを特徴とする自動車用コンピュータの誤動作防止方
法。1. An automobile computer for executing an ordinary processing routine and executing the interrupt processing routine when an interrupt request is generated, measures the time during which the interrupt processing is not executed during the execution of the ordinary processing routine, and A method for preventing malfunction of a computer for an automobile, characterized in that interrupt processing is executed when interrupt processing is not executed within a set predetermined time.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP60017949A JPH06103467B2 (en) | 1985-01-31 | 1985-01-31 | Preventing malfunction of automobile computer |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP60017949A JPH06103467B2 (en) | 1985-01-31 | 1985-01-31 | Preventing malfunction of automobile computer |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPS61175825A JPS61175825A (en) | 1986-08-07 |
| JPH06103467B2 true JPH06103467B2 (en) | 1994-12-14 |
Family
ID=11958016
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP60017949A Expired - Lifetime JPH06103467B2 (en) | 1985-01-31 | 1985-01-31 | Preventing malfunction of automobile computer |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH06103467B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS6315340A (en) * | 1986-07-07 | 1988-01-22 | Oki Electric Ind Co Ltd | Malfunction detecting system for electronic controller |
| JP5331451B2 (en) * | 2008-11-11 | 2013-10-30 | 株式会社メガチップス | Microcontroller |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS547832A (en) * | 1977-06-20 | 1979-01-20 | Nec Corp | Central control unit |
-
1985
- 1985-01-31 JP JP60017949A patent/JPH06103467B2/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JPS61175825A (en) | 1986-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US4775957A (en) | Microcomputer with abnormality sensing function | |
| JPS5968004A (en) | Fail-safe method for automotive computers | |
| EP1308811B1 (en) | Electronic control device having control and monitoring CPUS | |
| JPH06103467B2 (en) | Preventing malfunction of automobile computer | |
| JP2768693B2 (en) | Apparatus for monitoring a computer system having two processors | |
| JPH01312638A (en) | Retry controller for abnormality supervisory of micro processor | |
| JPH0646385B2 (en) | Preventing malfunction of automobile computer | |
| JPS6043536B2 (en) | Microcomputer malfunction prevention device | |
| JPH0646384B2 (en) | Preventing malfunction of automobile computer | |
| JP2002196948A (en) | Operation control device | |
| JPH06103466B2 (en) | Preventing malfunction of automobile computer | |
| JPH06103468B2 (en) | Preventing malfunction of automobile computer | |
| CN101048741A (en) | Data treating system with changeable clock rates | |
| JPS61175829A (en) | Malfunction preventing system of computer for automobile | |
| JPS61175828A (en) | Malfunction preventing system of computer for automobile | |
| CN116893916B (en) | Log recording method and log recording device | |
| JPS61175830A (en) | Malfunction preventing system of computer for automobile | |
| JPH0325813B2 (en) | ||
| JPH0559452B2 (en) | ||
| JP3182373B2 (en) | Microcomputer device | |
| JPH1083355A (en) | Memory check mechanism of vehicle control device | |
| JPH06195244A (en) | Detection device for abnormality of control computer | |
| JPH0571963B2 (en) | ||
| JP2518829Y2 (en) | I/O card error detection system | |
| JPH0738990Y2 (en) | Voltage drop detection circuit for electronic devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| EXPY | Cancellation because of completion of term |